Az összes jelszó megjegyzése az összes online fiókodba nagy kihívást jelent, ezért léteznek olyan jelszókezelők, mint a LastPass, a Dashlane és az 1Password. De ezek a hatalmas, titkosított felhasználónév- és jelszó-adatbázisok a bűnözők elsődleges célpontjai, és számos programot megsértettek.
Ezen a héten ingyenes jelszókezelő KeePass oldalán jelentette be, hogy sérülékenység van szoftverében és a hackerek hamis szoftverfrissítéseket küldhettek a felhasználóknak azzal, hogy új KeePass szoftverként jelentkeztek. A KeePass titkosítatlan Hypertext Transfer Protocol (HTTP) protokollt használ a HTTPS biztonságos verzió helyett. (Ha nem tudja, mi a HTTP és a HTTPS, akkor nézze meg az oldal URL-jét. A HTTPS az a protokoll, amely az internetes böngésző és a webhelyek között küldött adatokat tárolja. A HTTPS biztonságos, és hitelesíti az egyes webhelyeket és szervereket biztos, hogy egy rosszindulatú webhely nem jogosnak tűnik.)
Florian Bogner biztonsági kutató mondja a LifeHacker hogy mivel a KeePass HTTP-t használ a szoftverfrissítésekhez, a szélhámosok hamis frissítést hozhatnak létre rosszindulatú szoftverekkel.
A KeePass a webhelyén elmagyarázza:
A verzióinformációs fájlt a KeePass webhelyről tölti le HTTP-n keresztül. Így egy középen tartózkodó férfi (valaki, aki képes elfogni az Ön kapcsolatát a KeePass webhelyével) hibás verziófájlt küldhetett vissza, esetleg a KeePass értesítést jelenített meg arról, hogy új KeePass verzió áll rendelkezésre.
A KeePass szerint csak azért, mert egy hacker hamis frissítést küld neked, benne rosszindulatú programok, ez nem jelenti azt, hogy a támadás mozgásban van, mert a KeePass nem üzemeltet automatikus frissítéseket. A KeePass felhasználóknak manuálisan kell letölteniük egy új verziót. A KeePass szerint a felhasználóknak ellenőrizniük kell a digitális aláírást, és ha rosszindulatú program van, ne töltsék le.
A digitális aláírás ellenőrzésével kapcsolatos további információkért tekintse meg Bogner alábbi videóját:
